阿里曹愷：網(wǎng)絡(luò)支付安全性超越銀行

最近，以央視為主的媒體一直在質(zhì)疑互聯(lián)網(wǎng)支付的安全性，各種各樣的測試與案例讓很多網(wǎng)民產(chǎn)生了擔(dān)憂。2014年6月30日，支付寶召開了安全支付生態(tài)圈發(fā)布會，小微金福安全產(chǎn)品資深總監(jiān)曹愷介紹了互聯(lián)網(wǎng)支付的風(fēng)控系統(tǒng)和流程設(shè)計，為整個互聯(lián)網(wǎng)金融行業(yè)的安全性正名。

安全是科學(xué)也是藝術(shù)，主要解決三個問題

首先安全是一門科學(xué)，要求精確性，還要求復(fù)雜業(yè)務(wù)邏輯的嚴(yán)密性，還要求跨學(xué)科、跨領(lǐng)域的知識，它也是一門藝術(shù)。安全背后的大數(shù)據(jù)、知識、商業(yè)邏輯感知更是藝術(shù)。

安全主要解決幾個問題：

第一個，老百姓的安全感的問題，如果沒有感知也不行，覺得自己每天會被侵犯，這個時候是沒有安全的。安全性是什么，實實在在的安全，而且安全性要解決的是沒有風(fēng)險短板，提高支付寶自身的抵抗力，讓黑客、漏洞無處可密。

第二個很重要的東西是支付寶的反應(yīng)能力，因為沒有任何人可以說我不出問題，出現(xiàn)威脅征兆可以快速響應(yīng)、快速解決，降低風(fēng)險。

第三個重要的問題是要提高攻擊成本，降低它的收益，提高威脅侵害者他們能夠從中獲得的收益。因為沒有這樣的打擊，沒有成本的提高和收益的降低，威脅的動機永遠(yuǎn)存在。

銀行支付安全理念已經(jīng)過時，移動互聯(lián)網(wǎng)安全超越自身體系

支付寶現(xiàn)在的這種安全體系在互聯(lián)網(wǎng)、金融領(lǐng)域，包括銀行，都基于身份認(rèn)證的控制，這一套體系它的理念基本上來自于90年代，國家建立了一套計算機保護等等，它其實是很好的，大大提升了支付寶國家網(wǎng)民的覆蓋率。中國網(wǎng)銀是最先進的，為支付寶創(chuàng)造了非常大的基礎(chǔ)。到了今天，移動互聯(lián)網(wǎng)的出現(xiàn)，互聯(lián)網(wǎng)金融的出現(xiàn)，這樣的安全不適應(yīng)了。

支付寶看到越來越多的問題，其實盜用者他的犯罪行為沒在你的體系里邊，在線下已經(jīng)把欺詐做完了，甚至受害者還配合行使這樣的活動，拿著用戶的帳號、密碼，甚至用戶給的校驗碼就可以實施犯罪了，所以靠原來的模式已經(jīng)不行。所以，支付寶認(rèn)為未來的安全不再是以前只是重視端的思路，它有幾個特點：第一，通過端去產(chǎn)生數(shù)據(jù)，通過云去部署策略，通過云去識別風(fēng)險。第二，用戶的保障，用戶的體驗。第三，要注意的是它準(zhǔn)入是要簡單的，因為用戶交易行為來的很快，去的也很快，一定要很容易，過程中不能置之不理。

支付寶的安全和風(fēng)險控制流程是這樣的

基于這樣一套風(fēng)險的產(chǎn)品和技術(shù)的理念，支付寶建立了一套多層次的閉環(huán)的安全產(chǎn)品技術(shù)體系。

首先一個用戶想做一筆交易的時候，進到支付寶網(wǎng)站，看到的是什么，其實可能還什么沒有看到，支付寶就通過一套端的控制體系，幫助用戶保護環(huán)境的安全，同時有一套很強有力的系統(tǒng)保護機制，這套體系一方面可以幫助支付寶用戶遠(yuǎn)離木馬等等各種各樣的針對系統(tǒng)攻擊手段。進入到第二層次，就是用戶身份認(rèn)證的環(huán)節(jié)，主要解決用戶知道這個網(wǎng)站是誰，是不是擁有者，大家耳熟能詳?shù)谋容^清楚的是數(shù)據(jù)證書，可能還有動態(tài)保密帳號密碼。

大家不知道的是，支付寶很有意思做過一些研究，現(xiàn)在也在投入使用的是分析發(fā)現(xiàn)一個人有一些行為，除了社會行為，生物行為，就是與生俱來不受他控制的一些行為。支付寶發(fā)現(xiàn)用戶熟悉了帳戶和密碼以后，它的敲擊節(jié)奏是非常固定的，這個大家可以下去試一下，一共18個字節(jié)，每次擊打鍵盤，松開各有兩個，這里有35個節(jié)奏。每個人都不一樣，大家可以嘗試一下，通過大數(shù)據(jù)智能的分析，支付寶可以很好標(biāo)識是不是用戶本人，有人看到，但是記不走節(jié)奏。支付寶發(fā)現(xiàn)這個準(zhǔn)確率超過85%，非常的有幫助，這也是支付寶所說的新的身份認(rèn)證的方式。

通過身份認(rèn)證支付寶解決了你是誰的問題，支付寶在后端幫用戶開始監(jiān)控比較敏感的操作，比如說輸入密碼，或者修改密碼，或者包括支付，會有一定風(fēng)險型動作的時候，支付寶有風(fēng)險的識別和風(fēng)險控制體系。

風(fēng)險識別可以對用戶的行為做刻劃，做分析，可以去利用模型和規(guī)則去判斷是不是高危的。一個簡單的例子，比如三四十歲白領(lǐng)男性用戶，平時比較關(guān)注家庭，比如買服裝，或者買電商用品，今天想充值游戲卡，其實這是異常行為，支付寶會特別關(guān)注，支付寶會把它作為風(fēng)險標(biāo)識出來。支付寶認(rèn)為沒有風(fēng)險，是可信的，就讓它過了，這個用戶完全沒有感知，好的用戶支付體驗得到了保護。有風(fēng)險怎么辦，進入第四個環(huán)節(jié)。

支付寶風(fēng)險的管控是多層次的管控體系，有幾個手段可以做。第一，有風(fēng)險的帳戶保護起來，第二，有風(fēng)險，限制它的額度和權(quán)限，第三，支付寶把風(fēng)險更高的往下面一個環(huán)節(jié)推送，進入到最后一個環(huán)節(jié)，也就是是一個深度的關(guān)聯(lián)分析。一些專業(yè)團隊，結(jié)合數(shù)據(jù)系統(tǒng)和非常復(fù)雜的分析體系，把有問題的數(shù)據(jù)跟網(wǎng)站都深入關(guān)聯(lián)，發(fā)現(xiàn)更多有風(fēng)險的帳戶，發(fā)現(xiàn)更多可能會被受到損失的帳戶，然后把它保護起來，這樣每個層次都會產(chǎn)出結(jié)果，然后實施回饋到前面的步驟，這樣就可以有這樣一個非常強大的體系。

支付寶能夠支持每秒3萬筆交易

支付寶安全支付體系支付寶已經(jīng)做到了每秒3萬筆，這個數(shù)字意味著什么概念。北京首都機場，中國最繁忙的機場，一年客流量八千多萬，通過支付寶這樣的安全產(chǎn)品技術(shù)體系的能力，支付寶可以在45分鐘完成所有北京機場的安檢。交易一天什么概念，因為成本的原因，不需要這么多設(shè)備，增加服務(wù)器，可以讓全中國所有老百姓每天到支付寶這里做一筆交易。

關(guān)于安全的風(fēng)險和數(shù)據(jù)計算能力，支付寶有超過20億風(fēng)險敏感事件的處理能力。這是什么概念，假設(shè)一個人一天能夠記住十件事，把它變成自己的知識沉下來，20億需要這個人需要記60萬年，支付寶可以在一天處理完。

數(shù)據(jù)能力才是安全能力的真正基石

數(shù)據(jù)能力是安全能力的基石，基于大數(shù)據(jù)的防控，要解決五個層面的能力。第一數(shù)據(jù)的商業(yè)認(rèn)知，你對數(shù)據(jù)怎么看，怎么知道用什么數(shù)據(jù)解決支付寶的問題。第二數(shù)據(jù)采集，覆蓋多少用戶、終端或者多少種威脅的信息，這是所需要的。第三個是數(shù)據(jù)計算，有這么多數(shù)據(jù)怎么算，數(shù)據(jù)的可靠性是不是好，垃圾數(shù)據(jù)是解決不了什么問題。第四個層面，數(shù)據(jù)的分析能力，你能不能有你的思路，有你智能分析的團隊，把數(shù)據(jù)變成你的知識、能力。最后是數(shù)據(jù)的應(yīng)用，怎么用，怎么嵌入業(yè)務(wù)環(huán)節(jié)，怎么把數(shù)據(jù)發(fā)揮很重要的作用，這是五個層面非常關(guān)鍵的能力。

【首發(fā)于百度百家，溝通交流請 @馬繼華 或加公眾號“北國騎士”】

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。